VBA32 Sind — антивирусный продукт под UNIX.

На сегодняшний день продукт может:
- работать в качестве простого антивирусного сканера;
- работать в качестве фильтра для amavisd-new;
- работать под ОС Linux.

В будущем планируется:
- полноценная работа в качестве антивирусного сканера;
- работа в качестве фильтра для почтовых систем;
- работа в качестве фильтра для squid (поддержка ICAP протокола);
- работа под ОС FreeBSD.

Ссылки на закачку пакета:

ftp://anti-virus.by/beta/vba32sind-3.12.1-linux-glibc2.3.tar.gz

ftp://vba.ok.by/vba/beta/vba32sind-3.12.1-linux-glibc2.3.tar.gz

Продукт состоит из трех модулей:
1. vbadaemon - антивирусный демон с интерфейсом через файл сокета;
2. vbaclient - клиент для антивирусного демона;
3. vbaupdate - утилита для обновления комплекса.

Внутри пакета есть реадмишка на русском и английском языках, в которой описываются подробно все модули и процессы установки/удаления и настройки для работы в качестве фильтра для amavisd-new.

Ключ приаттачен к посту. 216098

Кому интересно, присоединяйтесь :clapping:

Пожелания, замечания, предложения пишите сюда или на beta[at]anti-virus.by.

Вышла новая бета версия продукта Vba32 Sind.

Основные изменения:

* Внесены изменения в архитектуру проекта

* Изменен интерфейс взаимодействия клиента и демона

* Изменен интерфейс взаимодействия демона и антивирусного ядра

Благодаря этому:

- происходит полное сканирование, что позволяет обнаружить все зараженные вложения в объекте;

- через клиента можно управлять демоном:

запускать (--daemon-start)
останавливать (--daemon-stop)
перезапускать (--daemon-restart)
перезагружать базы (--daemon-reload)
узнать текущий статус (--daemon-status)

Планы на будущее:

- добавится новый интерфейс работы пользователя с модулем vbaclient;

- многопоточное сканирование;

- работа с инфицированными файлами (удаление, копирование в карантин);

- лечение вирусных файлов.

Следующая бета-версия Vba32 Sind. В нее вошли следующие изменения:

* Новый интерфейс работы пользователя с модулем vbaclient

Новый интерфейс активируется созданием симлинка.

Для функции сканирования необходимо сделать симлинк vbascan:


ln -s /opt/vba/bin/vbaclient /usr/bin/vbascan

Для функции администрирования демона необходимо сделать симлинк vbad:


ln -s /opt/vba/bin/vbaclient /etc/init.d/vbad

* Многопоточное сканирование

Появилась опция клиента -j/--join, с помощью которой можно задать количество рабочих потоков.

* Работа с инфицированными файлами

Добавились следующие возможности:

- лечение (--cure)
- удаление (--delete)
- копирование (--copy)

Для работы с контейнерными объектами (архивы, почта) необходимо доп. подтверждение на удаление контейнера:

- архив (--archive delete)
- почта (--mail delete)

* Работа с подозрительными файлами

- отключение эвристики (--suspect skip)
- копирование (--suspect copy)

Удаление подозрительных файлов не поддерживаем.

С симлинками удобно придумали! :smile2:

Вышла новая бета версия продукта Vba32 Sind.

Функционал, который сейчас появляется, представляет собой заготовки, необходимые для работы в качестве почтовых фильтров.

* Корректная остановка по сигналу SIGINT (Ctrl + C)

* Добавлена опция --timeout клиента

Данный параметр настривается с помощью строки CheckTimeout конфигурационного файла. Он предназначен для ограничения сканирования файла по времени.

* Сканирование файлов, переданных на стандартный ввод

На вход подается тело файла:


cat /path/to/file | vbascan

* Новая опция --tempdir модуля обновления

Опция используется для указания вспомогательной папки для обновлений. По умолчанию используется уникальная папка в каталоге /tmp, которая удаляется после завершения работы.

* Изменен интерфейс vbaclient

Помимо интерфейсов, активируемых созданием символьных ссылок, соответствующий интерфейс можно получить, задав следующие команды:

консольный сканер:

vbaclient scan

администрирование демона:

vbaclient daemon

Исправлены следующие ошибки:

* Неправильные коды возвратов клиента

* Добавлена правильная реакция на некоторые важные ошибки модуля обновления

Новая бета версия продукта Vba32 Sind

Основное изменение: новый парсер командной строки и конфигурационного файла.

Подробнее:

* Опции InfectedCure, InfectedCopy и InfectedDelete заменены одной опцией ActionInfected

* Опция --suspect [ActionSuspect] переименована в --suspected [ActionSuspected]

* Добавлено новое значение для output: null - ничего не выводить

* Короткие ключи могут следовать без разделителей

Пример: ./vbadaemon -vf

* В командной строке значения ключей могут задаваться через знак ровно, пробел или сразу следовать за коротким ключом

Пример: vbascan --suspected=copy --output bold -j3 /home
Внимание: в конфигурационном файле пара ключ-значение должны разделятся только пробельными символами.

* Составные значения ключей разделяются запятой

Пример: vbascan --infected=cure,delete,copy /home
Внимание: в конфигурационном файле значения могут разделятся любыми пробельными символами.

* Любой полный ключ может задаться отрицательным при помощи приставки --no-

Пример: vbascan --no-output --no-suspected /home
Внимание: составным значением при отрицании значения не задаются.

* Новое поведение при заданной некорректной опции:
- при ошибке в командной строке соответствующий модуль выдаст ошибку и завершит работу;
- при ошибке в конфигурационном файле соответствующий модуль выдаст предупреждение и продолжит работу со значением по умолчанию.

* Реализовано усечение сообщения до размера терминала при сканировании файлов

Причина: вывод работы сканера становится ненаглядным, когда при сканировании файлов сообщения начинают занимать более одной строки.

попробовал поставить sind - он не обновляется, http://www.anti-virus.by/update/vba32sind-linux.ini не найден, ошибка 404.
Скачал с фтп обычный vbacl бета - тот обновляется нормально.

Линк для обновления: http://www.anti-virus.by/beta/update

а у вас системы сбора безобразиев вроде микрософтовской/нодовской не планируется ? на первое время хотя бы suspicious отсылать автоматом, если админ в конфиге не запретил. Там же и все ложняки сразу получите.
Думаю, сделать несложно, было бы политическое решение на то.

Добавлено через 2 минуты

ЗЫ: С трудом представляю объем получаемого у микрософта :)

Добавлено через 1 минуту

к примеру, пусть сверяет sha256 и если такого файла нету - шлет.